第03关 Content-type过滤绕过
1.打开靶场
iwebsec 靶场漏洞库iwebsechttp://iwebsec.com:81/upload/03.php靶场打开后效果如下所示
尝试上传info.php提示仅允许上传jpg,gif和png格式的文件
2.content-type检测
在HTTP协议消息头中,使用Content-Type来表示请求和响应中的媒体类型信息。它用来告诉服务端如何处理请求的数据,以及告诉客户端(一般是浏览器)如何解析响应的数据。以上传图片为例,有如下标志:
JPEG图片标记:image/jpeg;
GIF图片标记:image/gif;
PNG图片标志:image/png;
3.源码分析
如下所示服务端的源码仅检查content-type类型,而不是检查后缀等其他信息,基于此我们在渗透时只需将报文发送到bp时,用bp将报文的content-type修改为图片即可。
<?php
require_once('../header.php');
?>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf8"/>
<head>
<title>Content-Type过滤绕过</title>
</head>
<h2>Content-Type过滤绕过</h2>
<div class="alert alert-success">
<p>请上传PHP文件</p>
</div>
<body>
<form action="" enctype="multipart/form-data" method="post"
name="uploadfile">上传文件:<input type="file" name="upfile" /><br>
<input type="submit" value="上传" /></form>
<?php
//print_r($_FILES["upfile"]);
if(is_uploaded_file($_FILES['upfile']['tmp_name'])){
$upfile=$_FILES["upfile"];
//获取数组里面的值
$name=$upfile["name"];//上传文件的文件名
$type=$upfile["type"];//上传文件的类型
$size=$upfile["size"];//上传文件的大小
$tmp_name=$upfile["tmp_name"];//上传文件的临时存放路径
//判断是否为图片
switch ($type){
case 'image/pjpeg':$okType=true;
break;
case 'image/jpeg':$okType=true;
break;
case 'image/gif':$okType=true;
break;
case 'image/png':$okType=true;
break;
}
if($okType){
/**
* 0:文件上传成功<br/>
* 1:超过了文件大小,在php.ini文件中设置<br/>
* 2:超过了文件的大小MAX_FILE_SIZE选项指定的值<br/>
* 3:文件只有部分被上传<br/>
* 4:没有文件被上传<br/>
* 5:上传文件大小为0
*/
$error=$upfile["error"];//上传后系统返回的值
echo "================<br/>";
echo "上传文件名称是:".$name."<br/>";
echo "上传文件类型是:".$type."<br/>";
echo "上传文件大小是:".$size."<br/>";
echo "上传后系统返回的值是:".$error."<br/>";
echo "上传文件的临时存放路径是:".$tmp_name."<br/>";
echo "开始移动上传文件<br/>";
//把上传的临时文件移动到up目录下面
move_uploaded_file($tmp_name,'up/'.$name);
$destination="up/".$name;
echo "================<br/>";
echo "上传信息:<br/>";
if($error==0){
echo "文件上传成功啦!";
echo "<br>图片预览:<br>";
echo "<img src=".$destination.">";
//echo " alt=\"图片预览:\r文件名:".$destination."\r上传时间:\">";
}elseif ($error==1){
echo "超过了文件大小,在php.ini文件中设置";
}elseif ($error==2){
echo "超过了文件的大小MAX_FILE_SIZE选项指定的值";
}elseif ($error==3){
echo "文件只有部分被上传";
}elseif ($error==4){
echo "没有文件被上传";
}else{
echo "上传文件大小为0";
}
}else{
echo "请上传jpg,gif,png等格式的图片!";
}
}
根据源码,需要将content-type修改为如下四种类型才可以绕过
Content-Type: image/jpeg
Content-Type: image/pjpeg
Content-Type: image/gif;
Content-Type: image/png;
4.上传脚本
bp开启抓包
上传脚本
bp拦截到报文后发送到repeater
![](https://i-blog.csdnimg.cn/blog_migrate/80f5506925f5bd2bf4110c20a5f36d90.png)
5.bp改包
如下所示,repeater中需要修改如下红框处
(1)image/png方法
(2)bp改包(image/jpeg)
image/jpeg方法
(3) image/pjpeg方法
(4)image/gif方法
6.访问上传脚本
如上所示,渗透成功